第四章網(wǎng)絡(luò)安全技術(shù)-威脅情報(bào)技術(shù)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)威脅情報(bào)技術(shù)威脅情報(bào)的定義威脅情報(bào)（TI：ThreatIntelligence）是一種基于證據(jù)來描述威脅的知識(shí)信息，包括威脅上下文信息（Context）、威脅所使用的方法機(jī)制、威脅指標(biāo)點(diǎn)（Indicators）、攻擊影響，以及應(yīng)對(duì)行動(dòng)建議。威脅上下文信息（Context）是威脅存在的物理環(huán)境、系統(tǒng)環(huán)境和網(wǎng)絡(luò)環(huán)境等信息。威脅指標(biāo)點(diǎn)（Indicators）是準(zhǔn)確描述威脅的特征參數(shù)。從威脅情報(bào)所包含的內(nèi)容來看，主要有關(guān)威脅者的物理位置、所用工具、攻擊時(shí)間、惡意軟件所在網(wǎng)絡(luò)域、僵尸網(wǎng)絡(luò)信息以及其他信息。威脅情報(bào)技術(shù)威脅情報(bào)的類型從威脅情況的作用來看，主要包括戰(zhàn)略性威脅情報(bào)、操作性威脅情報(bào)、戰(zhàn)術(shù)性威脅情報(bào)和技術(shù)性威脅情報(bào)。戰(zhàn)略性威脅情報(bào)是從威脅的全貌及未來發(fā)展動(dòng)態(tài)的知識(shí)信息，主要提供給高層戰(zhàn)略決策者使用。操作性威脅情報(bào)是針對(duì)特定攻擊的可付諸行動(dòng)的知識(shí)信息。戰(zhàn)術(shù)性威脅情報(bào)是關(guān)于網(wǎng)絡(luò)攻擊戰(zhàn)術(shù)性的知識(shí)信息（如攻擊技巧、方法等）。技術(shù)性威脅情報(bào)是關(guān)于攻擊的技術(shù)細(xì)節(jié)的知識(shí)信息，包括攻擊的工具、命令、控制渠道、基礎(chǔ)架構(gòu)等技術(shù)信息。威脅情報(bào)技術(shù)威脅情報(bào)的標(biāo)準(zhǔn)化標(biāo)準(zhǔn)化是解決不同系統(tǒng)之間交換信息的一種方法它主要解決語義、技術(shù)和策略的互操作性問題語義互操作性：數(shù)據(jù)通信的接收方按照發(fā)送方的預(yù)期來理解信息的能力。技術(shù)互操作性：不同系統(tǒng)之間通過被明確定義并被廣泛采用的接口標(biāo)準(zhǔn)來進(jìn)行數(shù)據(jù)通信和數(shù)據(jù)交換的能力。策略互操作性：所有參與者之間關(guān)于數(shù)據(jù)傳輸、接收和確認(rèn)的通用業(yè)務(wù)流程的能力。威脅情報(bào)技術(shù)威脅情報(bào)的標(biāo)準(zhǔn)化威脅情報(bào)的標(biāo)準(zhǔn)化：可機(jī)讀威脅情報(bào)（MRTI：MachineReadableThreatIntelligence）就是一種威脅情報(bào)的特殊格式，使其可以被計(jì)算機(jī)所處理，并可以在不同部門或系統(tǒng)間進(jìn)行交換。威脅情報(bào)轉(zhuǎn)換為可機(jī)讀威脅情報(bào)是共享威脅情報(bào)的基礎(chǔ)和前提網(wǎng)絡(luò)可觀察表達(dá)式結(jié)構(gòu)化威脅信息表達(dá)式可信自動(dòng)交換指標(biāo)信息常見的威脅情報(bào)標(biāo)準(zhǔn)威脅情報(bào)技術(shù)開放式威脅指標(biāo)事件記錄和事故共享詞匯事件描述與交換格式可管理型安全事件輕量級(jí)交換聯(lián)合式情報(bào)框架國家漏洞數(shù)據(jù)庫紅綠燈協(xié)議網(wǎng)絡(luò)可觀察表達(dá)式威脅情報(bào)技術(shù)用XML形式化地描述網(wǎng)絡(luò)中可觀察對(duì)象的屬性和特性?？捎^察對(duì)象是在一個(gè)可操作的網(wǎng)絡(luò)空間環(huán)境的實(shí)體（如UNIX系統(tǒng)的文件、Windows系統(tǒng)的注冊(cè)表等。CybOX主要通過CybOX_Core和CybOX_Common這兩個(gè)描述規(guī)則（Schemas）來提供其基礎(chǔ)結(jié)構(gòu)和功能。CybOX_Core列出了目前CybOX所支持的可觀察對(duì)象CybOX_Common則描述了這些對(duì)象的結(jié)構(gòu)及屬性CybOX：CyberObservableExpression網(wǎng)絡(luò)可觀察表達(dá)式（續(xù)）威脅情報(bào)技術(shù)<xs:elementname="Account"type="AccountObj:AccountObjectType"><xs:annotation><xs:documentation>TheAccountobjectisintendedtocharacterizegenericaccounts.</xs:documentation></xs:annotation></xs:element>對(duì)AccountObj:Account的XML描述示例結(jié)構(gòu)化威脅信息表達(dá)式威脅情報(bào)技術(shù)STIX：StructuredThreatInformationExpression提供了基于XML的威脅情報(bào)的形式化描述，包括威脅情報(bào)的因素、活動(dòng)、安全事故等詳細(xì)內(nèi)容。支持采用CybOX等規(guī)范來描述具體的網(wǎng)絡(luò)實(shí)體可以對(duì)網(wǎng)絡(luò)威脅進(jìn)行有效管理和威脅情報(bào)的標(biāo)準(zhǔn)化共享分析網(wǎng)絡(luò)威脅（analyzingcyberthreats）定義指標(biāo)點(diǎn)模型（specifyingindicatorpatterns）管理響應(yīng)行為（managingresponseactivities共享網(wǎng)絡(luò)威脅信息（sharingcyberthreatinformation）可信自動(dòng)交換指標(biāo)信息威脅情報(bào)技術(shù)TAXII：TrustedAutomatedExchangeofIndicatorInformation定義了用于威脅情報(bào)交換的協(xié)議和消息傳輸規(guī)范TAXII定義了以下規(guī)范：服務(wù)規(guī)范（ServicesSpecification）消息綁定規(guī)范（MessageBindingSpecifications）協(xié)議綁定規(guī)范（ProtocolBindingSpecifications）查詢格式規(guī)范（QueryFormatSpecification）內(nèi)容綁定參照（ContentBindingReference）開放式威脅指標(biāo)威脅情報(bào)技術(shù)OpenIOC：OpenIndicatorsofCompromise通過XML來描述已知威脅、攻擊者所采用方法或者威脅證據(jù)的標(biāo)準(zhǔn)。威脅指標(biāo)點(diǎn)（IOC：IndicatorsofCompromise）就是用于描述入侵的詳細(xì)信息或者是一組可用檢測(cè)攻擊者的入侵及其他行為的特征信息事件描述與交換格式威脅情報(bào)技術(shù)IODEF：IncidentObjectDescriptionExchangeFormat是在計(jì)算機(jī)安全應(yīng)急響應(yīng)小組以及他們的合作者之間，交換可操作式和統(tǒng)計(jì)性安全事件的標(biāo)準(zhǔn)格式。IODEF由IETF擴(kuò)展安全事件處理工作組（ExtendedIncidentHandlingWorkingGroup）提出，并作為IETF安全領(lǐng)域的標(biāo)準(zhǔn)。IODEF也兼容入侵檢測(cè)消息交換格式（IDMEF：IntrusionDetectionMessageExchangeFormat）。可管理型安全事件輕量級(jí)交換威脅情報(bào)技術(shù)MILE：ManagedIncidentLightweightExchange是一個(gè)IETF的工作組，它開發(fā)用于支持計(jì)算機(jī)和網(wǎng)絡(luò)安全事件管理的標(biāo)準(zhǔn)。對(duì)于IODEF，MILE工作組主要是更具實(shí)際需求與經(jīng)驗(yàn)，對(duì)其進(jìn)行完善和擴(kuò)展，并提供實(shí)施參考指導(dǎo)。實(shí)時(shí)網(wǎng)絡(luò)防御（RID：Real-timeInter-network），則是工作組重點(diǎn)工作。MILE工作組主要工作涉及兩個(gè)方面：IODEF和RID可管理型安全事件輕量級(jí)交換（續(xù)）威脅情報(bào)技術(shù)RID定義了一個(gè)協(xié)議，用于簡(jiǎn)化計(jì)算機(jī)和網(wǎng)絡(luò)安全事件的共享。RID協(xié)議在RFC6545中定義，而利用HTTPS來傳輸RID（RIDoverHTTPS）則在RFC6546中定義。定義一個(gè)面向資源的方法（resource-orientedapproach），用來進(jìn)行網(wǎng)絡(luò)安全信息共享。對(duì)實(shí)現(xiàn)和使用RID提供指導(dǎo)。根據(jù)需要，RID進(jìn)行修改和完善，使其滿足其他標(biāo)準(zhǔn)的要求。RID的功能包括：聯(lián)合式情報(bào)框架威脅情報(bào)技術(shù)CIF：CollectiveIntelligenceFramework是一個(gè)威脅情報(bào)管理系統(tǒng)。最重要的威脅情報(bào)數(shù)據(jù)包括與惡意行為相關(guān)的IP地址、網(wǎng)絡(luò)域和URL等。由CSIRTGadgets基金會(huì)支持。CIF允許用戶將來自多個(gè)情報(bào)源的威脅情報(bào)進(jìn)行整合和融合，并用于識(shí)別、檢測(cè)和清除安全攻擊。國家漏洞數(shù)據(jù)庫威脅情報(bào)技術(shù)NVD：NationalVulnerabilityDatabase是一組用SCAP（SecurityContentAutomationProtocol）來表示脆弱性數(shù)據(jù)的標(biāo)準(zhǔn)。NVD包括一個(gè)由安全脆弱性列表、與安全相關(guān)的軟件缺陷、錯(cuò)誤配置、產(chǎn)品名稱和影響指標(biāo)等構(gòu)成的漏洞數(shù)據(jù)庫。事件記錄和事故共享詞匯威脅情報(bào)技術(shù)VERIS：VocabularyforEventRecordingandIncidentSharing定義了一個(gè)用于描述安全事件的詞匯表它由Verizon公司提出紅綠燈協(xié)議威脅情報(bào)技術(shù)TLP：TrafficLightProtocol提供了一組名稱，而不是一個(gè)數(shù)據(jù)格式TLP將可能被共享的情報(bào)分類，以控制共享范圍。它定義了四個(gè)層次的共享（對(duì)應(yīng)四種顏色）：紅色：表示不能共享黃色：表示只能在產(chǎn)生的組織內(nèi)共享綠色：表示可以在組織外部共享，但有范圍限制白色：表示可被廣泛共享常見的其他威脅情報(bào)標(biāo)準(zhǔn)威脅情報(bào)技術(shù)通用漏洞及披露（CVE：CommonVulnerabilitiesandExposures）是包含了公眾已知的信息安全漏洞的信息和披露的集合。通過用弱點(diǎn)列舉（CWE：CommonWeaknessEnumeration）是列舉軟件弱點(diǎn)和漏洞的標(biāo)準(zhǔn)。通用配置枚舉（CCE：CommonConfigurationEnumeration）是用于描述計(jì)算機(jī)及設(shè)備配置的標(biāo)準(zhǔn)化語言。通用平臺(tái)枚舉（CPE：CommonPlatformEnumeration）是一種對(duì)應(yīng)用程序、操作系統(tǒng)以及硬件設(shè)備進(jìn)行描述和標(biāo)識(shí)的標(biāo)準(zhǔn)化方案。通用配置評(píng)分系統(tǒng)（CCSS：CommonConfigurationScoringSystem）描述系統(tǒng)配置缺陷的嚴(yán)重程度。常見的其他威脅情報(bào)標(biāo)準(zhǔn)（續(xù)1）威脅情報(bào)技術(shù)通用漏洞評(píng)分系統(tǒng)（CVSS：CommonVulnerabilityScoringSystem）用來評(píng)測(cè)漏洞的嚴(yán)重程度，并幫助確定其緊急度和重要度。開放檢查單交互語言（OCIL：OpenChecklistInteractiveLanguage）能夠用來處理安全檢查中需要人工交互反饋才能完成的檢查項(xiàng)。通用攻擊模式列舉與分類（CAPEC：CommonAttackPatternEnumerationandClassification）能夠用來對(duì)攻擊進(jìn)行模式劃分和分類。惡意軟件特征列舉與描述（MAEC：MalwareAttributeEnumerationandCharacterization）基于惡意軟件屬性進(jìn)行標(biāo)準(zhǔn)化的編碼和通信語言?？蓴U(kuò)展配置列表與描述格式（XCCDF：TheExtensibleConfigurationChecklistDescriptionFormat）是一種用來定義安全檢查單、安全基線、以及其他類似文檔的一種描述語言。常見的其他威脅情報(bào)標(biāo)準(zhǔn)（續(xù)2）威脅情報(bào)技術(shù)開放漏洞評(píng)估語言（OVAL：OpenVulnerabilityandAssessmentLanguage）定義檢查項(xiàng)、脆弱點(diǎn)等技術(shù)細(xì)節(jié)的一種描述語言。通用公告交換格式（CAIF：CommonAnnouncementInterchangeFormat）是一種用于存儲(chǔ)和交換安全公告信息的XML格式。公共事件表達(dá)（CEE：CommonEventExpression）是一種描述、記錄和交換計(jì)算機(jī)事件的標(biāo)準(zhǔn)。評(píng)估結(jié)果格式ARF（AssetReportingFormat）是一個(gè)用于描述資產(chǎn)及資產(chǎn)之間交換數(shù)據(jù)交換格式的數(shù)據(jù)模型。國家信息交換模型（NIEM：NationalInformationExchangeModel）是美國計(jì)算機(jī)應(yīng)急響應(yīng)小組用于安全公告和事件報(bào)告的標(biāo)準(zhǔn)。常見的其他威脅情報(bào)標(biāo)準(zhǔn)（續(xù)3）威脅情報(bào)技術(shù)開放式Web應(yīng)用程序安全項(xiàng)目（OWASP：OpenWebApplicationSecurityProject）是一個(gè)組織，它提供有關(guān)計(jì)算機(jī)和互聯(lián)網(wǎng)應(yīng)用程序的公正、實(shí)際、有成本效益的信息。Web應(yīng)用安全聯(lián)合威脅分類（WASC-TC：WebApplicationSecurityConsortiumThreatClassification）是一個(gè)評(píng)估Web應(yīng)用程序安全性的開放標(biāo)準(zhǔn)，它從攻擊和弱點(diǎn)兩方面討論安全問題?；谕{情報(bào)的網(wǎng)絡(luò)安全預(yù)警威脅情報(bào)技術(shù)威脅情報(bào)不僅包括對(duì)安全威脅的描述，也包括攻擊的各方面，而且為應(yīng)對(duì)攻擊而提出了應(yīng)急響應(yīng)與行動(dòng)的建議?；谕{情報(bào)，可以預(yù)測(cè)大規(guī)模網(wǎng)絡(luò)攻擊事件，從而起到網(wǎng)絡(luò)安全預(yù)警的作用。例如，CybOX、STIX和TAXII是美國國土安全部所規(guī)定威脅情報(bào)交換標(biāo)準(zhǔn)。其中CybOX用來描述實(shí)體的信息，STIX用來描述具體的威脅，而TAXII則用來在不同組織間傳輸威脅情報(bào)基于威脅情報(bào)的網(wǎng)絡(luò)安全預(yù)警威脅情報(bào)技術(shù)基于威脅情報(bào)的網(wǎng)絡(luò)安全預(yù)警的步驟（1）情報(bào)采集（Collect）：通過技術(shù)和非技術(shù)手段，從各情報(bào)源（如開源的情報(bào)信息、漏洞庫、網(wǎng)絡(luò)爬蟲、社交信息、黑客組織、客戶反饋、自